J’ai une exigence commerciale qui me force à stocker les informations de carte de crédit complètes d’un client (numéro, nom, date d’expiration, CVV2) pendant une courte période. Justification: Si un client appelle pour commander un produit et que sa carte de crédit est refusée sur place, vous risquez de perdre la vente. Si vous prenez […]
[Authorize] atsortingbut [Authorize] est agréable et pratique, et j’espère qu’il pourra résoudre les problèmes que j’ai maintenant. Pour être plus précis: Lorsque le client actuel n’est pas authentifié – [Authorize] redirige de l’action sécurisée vers la page de connexion et après la connexion réussie – ramène l’utilisateur, c’est bien. Mais lorsque le client actuel est […]
Mon site a connu une attaque par déni de service / piratage la semaine dernière. L’attaque frappe notre API Web avec des clés API invalides générées de manière aléatoire dans une boucle. Je ne suis pas sûr qu’ils essaient de deviner une clé (mathématiquement impossible comme des clés 64 bits) ou d’essayer d’attaquer le serveur […]
Serait-ce une bonne ou une mauvaise idée d’utiliser localStorage pour les données sensibles (en supposant les implémentations HTML5 actuelles)? Quelles méthodes puis-je utiliser pour sécuriser les données afin qu’elles ne puissent pas être lues par une personne ayant access à l’ordinateur client?
CSRF est-il possible avec les méthodes PUT ou DELETE? Ou l’utilisation de PUT ou DELETE empêche-t-elle CSRF?
En regardant les cookies de Gmail, il est facile de voir ce qui est stocké dans le cookie “Se souvenir de moi”. Le nom d’utilisateur / jeton d’access unique. Il pourrait être implémenté différemment dans les cas où le nom d’utilisateur est également secret. Mais peu importe … la chose n’est pas très haute sécurité: […]
J’ai essayé de déployer mon application Web (war) à partir de Glassfish AdminConsole, mais le message d’erreur suivant s’affiche: Exception while loading the app : Error in linking security policy for MyApp-war — Inconsistent Module State. Mais il se déploie sans aucun problème lorsque je le fais depuis Netbeans. (Je ne sais pas si Netbeans […]
Est-il possible d’empêcher l’enregistrement d’écran dans l’application Android? Je souhaite développer une application Android sécurisée. En cela, je dois détecter les logiciels d’enregistrement d’écran qui fonctionnent en arrière-plan et les tuer. J’ai utilisé SECURE FLAG pour empêcher les captures d’écran. Mais je ne sais pas, il est possible d’empêcher la capture vidéo de l’écran Android […]
Quelqu’un a-t-il une expérience pratique ou une référence pour un schéma qui implémente un schéma de gestion des clés conforme à la norme de sécurité PCI DSS ? Compte tenu du nombre de sociétés conformes à la norme PCI DSS, il est évident qu’il ya plusieurs implémentations, mais il est difficile d’essayer de trouver des […]
Je conçois un site Web qui aura un compagnon mobile (initialement iPhone uniquement). Le site Web sera une application ASP.Net MVC 3. Je disposerai également d’un site Web API ASP.Net (MVC 4) pour exposer les services à l’application iPhone. L’application iPhone aura son propre formulaire pour capturer le nom d’utilisateur et le mot de passe […]